Exchange CU14 ve Exchange CU15 güncellemeleri sonrasında varsayılan olarak etkinleştirilen Genişletilmiş Koruma (Extended Protection) özelliğini devre dışı bırakmak için kendi hazırladığınız betiği kullanmanız yeterli olacaktır. Genişletilmiş Koruma, NTLM ve Kerberos gibi kimlik doğrulama protokollerinde araya girme (man-in-the-middle) saldırılarını engellemek amacıyla kullanılır. Kimlik doğrulama süreçlerinde önemli bir güvenlik katmanı sağlamasına rağmen, bazı sistemlerde Outlook’un sürekli olarak kullanıcı adı ve parola istemesine neden olabilmektedir. Exchange Server 2016/2019 üzerinde bazı senaryolarda Extended Protection, istemcilerle yaşanan bağlantı problemlerine yol açabiliyor. Bu yazıda, bu özelliği nasıl devre dışı bırakacağınızı adım adım anlatıyorum.
Uyarı: Extended Protection özelliğinin devre dışı bırakılması, kimlik doğrulama güvenliğini azaltabilir. Bu değişikliği yalnızca belirli senaryolarda ve test sonrası uygulamanız önerilir.
Herhangi bir sorun olduğunda https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/ adresinde bulunan ExchangeExtendedProtectionManagement.ps1 scriptini indirmek yeterli olacaktır. Scripti direkt olarak indirmek için tıklayınız…
İndirdiğiniz scripti bir dizine atın ve Exchange mangement shell üzerinden attığınız dizine CD komutu ile gidiniz. Tüm sunucularda disable duruma getirmek için aşağıdaki komutu vermeniz yeterli olacaktır.
.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtectionEğer Extended protection’ı sadece belirli bir sunucuda kapatacaksınız sunucu adını vererek aynı scriptle işlemi yapabilirsiniz.
.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection -ExchangeServerNames EXC01
.\ExchangeExtendedProtectionManagement.ps1 -DisableExtendedProtection -ExchangeServerNames EXC01,EXC02,EXC03Scripti çalıştırdıktan belirli bir süre sonra işlemleri gerçekleştirecektir. Healtchecker ile Extended Protection durumunu tekrar kontrol sağlayabilrisiniz.